VPC 종단점에서 Elastic Beanstalk 사용 - AWS Elastic Beanstalk
Elastic Beanstalk에 대한 VPC 종단점 설정상태 향상을 위한 VPC 엔드포인트 설정프라이빗 VPC에서 VPC 엔드포인트 사용엔드포인트 정책을 사용하여 VPC 엔드포인트로 액세스 제어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

VPC 종단점에서 Elastic Beanstalk 사용

VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결을 필요로 하지 않고 AWS PrivateLink 구동 지원 AWS 서비스 및 VPC 엔드포인트 서비스에 비공개로 연결할 수 있습니다.

VPC의 인스턴스는 서비스의 리소스와 통신하는 데 퍼블릭 IP 주소를 필요로 하지 않습니다. VPC와 기타 서비스 간의 트래픽은 Amazon 네트워크를 벗어나지 않습니다. VPC 종단점에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC 종단점을 참조하세요.

AWS Elastic Beanstalk는 AWS PrivateLink를 지원하여 Elastic Beanstalk 서비스에 대한 프라이빗 연결을 제공하고 트래픽이 퍼블릭 인터넷에 노출되지 않도록 합니다. 애플리케이션에서 AWS PrivateLink를 사용하여 Elastic Beanstalk에 요청을 전송하도록 하려면 인터페이스 VPC 엔드포인트(인터페이스 엔드포인트)라는 VPC 엔드포인트 유형을 구성합니다. 자세한 내용은 Amazon VPC 사용 설명서인터페이스 VPC 엔드포인트(AWS PrivateLink)를 참조하세요.

참고

Elastic Beanstalk는 제한된 수의 AWS 리전에서 AWS PrivateLink 및 인터페이스 VPC 엔드포인트를 지원합니다. 조만간 더 많은 AWS 리전으로 지원을 확대하기 위해 노력하고 있습니다.

Elastic Beanstalk에 대한 VPC 종단점 설정

VPC에서 Elastic Beanstalk 서비스에 대한 인터페이스 VPC 종단점을 생성하려면 인터페이스 엔드포인트 생성 절차를 따릅니다. [서비스 이름]에서 com.amazonaws.region.elasticbeanstalk를 선택합니다.

퍼블릭 인터넷 액세스로 VPC를 구성한 경우 애플리케이션에서 elasticbeanstalk.region.amazonaws.com 퍼블릭 엔드포인트를 사용하여 인터넷을 통해 Elastic Beanstalk에 계속 액세스할 수 있습니다. 이를 방지하려면 엔드포인트 생성 중에 [Enable DNS name]을 활성화해야 합니다(기본적으로 true). 그러면 퍼블릭 서비스 엔드포인트를 인터페이스 VPC 엔드포인트에 매핑하는 DNS 항목이 VPC에 추가됩니다.

상태 향상을 위한 VPC 엔드포인트 설정

환경에 대해 [enhanced health reporting]를 활성화한 경우 AWS PrivateLink를 통해 향상된 상태 정보를 전송하도록 구성할 수 있습니다. 확장 상태 정보는 환경 인스턴스의 Elastic Beanstalk 구성 요소인 healthd 데몬에서 별도의 Elastic Beanstalk 확장 상태 서비스로 전송됩니다. VPC에서 이 서비스에 대한 인터페이스 VPC 종단점을 생성하려면 인터페이스 엔드포인트 생성 절차를 따릅니다. [서비스 이름]에서 com.amazonaws.region.elasticbeanstalk-health를 선택합니다.

중요

healthd 데몬은 향상된 상태 정보를 elasticbeanstalk-health.region.amazonaws.com 퍼블릭 엔드포인트로 전송합니다. 퍼블릭 인터넷 액세스로 VPC를 구성하고 VPC 엔드포인트에 대해 [Enable DNS name]을 비활성화한 경우 향상된 상태 정보는 퍼블릭 인터넷을 통해 이동합니다. 이는 향상된 상태 VPC 엔드포인트를 설정할 때 의도하지 않은 것일 수 있습니다. [Enable DNS name]이 활성화되어 있는지 확인합니다(기본적으로 true).

프라이빗 VPC에서 VPC 엔드포인트 사용

프라이빗 VPC 또는 VPC의 프라이빗 서브넷은 퍼블릭 인터넷에 액세스할 수 없습니다. 프라이빗 VPC에서 Elastic Beanstalk 환경을 실행하고 보안 강화를 위해 인터페이스 VPC 종단점을 구성할 수 있습니다. 이 경우 사용자 환경에서 Elastic Beanstalk 서비스 문의 이외 다른 이유로 인터넷 연결을 시도할 수 있습니다. 프라이빗 VPC에서 환경을 실행하는 방법에 대한 자세한 내용은 프라이빗 VPC에서 Elastic Beanstalk 환경 실행 단원을 참조하십시오.

엔드포인트 정책을 사용하여 VPC 엔드포인트로 액세스 제어

기본적으로 VPC 엔드포인트는 연결된 서비스에 대한 모든 액세스를 허용합니다. 엔드포인트를 생성하거나 수정할 때 엔드포인트 정책을 엔드포인트에 연결할 수 있습니다.

엔드포인트 정책은 엔드포인트에서 지정된 서비스로의 액세스를 제어하는 AWS Identity and Access Management(IAM) 리소스 정책입니다. 엔드포인트 정책은 엔드포인트에만 해당됩니다. 사용자 환경에 적용될 수 있는 사용자 또는 인스턴스 IAM 정책과는 별개이며 이를 재정의하거나 대체하지 않습니다. VPC 종단점 정책을 작성 및 사용하는 방법에 대한 자세한 내용은 Amazon VPC 사용 설명서VPC 종단점으로 서비스에 대한 액세스 제어를 참조하세요.

다음 예제에서는 VPC 엔드포인트를 통해 환경을 종료할 수 있는 권한을 모든 사용자에게 거부하고 모든 다른 작업에 대한 모든 액세스를 허용합니다.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
참고

현재는 기본 Elastic Beanstalk 서비스에서만 VPC 종단점에 엔드포인트 정책을 연결할 수 있습니다. 향상된 상태 서비스는 엔드포인트 정책을 지원하지 않습니다.